終極Web安全防護解決方案(1)
Web信息系統各種安全問題潛伏在Web系統中,Web系統的時時刻刻遭受各種攻擊的安全威脅。現在大多數的企業已經意識到Web信息系統的安全威脅,采取了眾多安全措施,花費大量的人力物力在網絡及服務器的安全上,為什么信息系統還是得不到真正的安全呢?
企業的Web安全現狀
現在據調查統計75%網絡攻擊行為都來自于Web應用層面而非網絡層面,同時調查表明國內有近大于50%的站點存在各種Web層面的安全問題。現在很多的企業給自己的網絡應用了入侵檢測系統、網絡防火墻、VPN、網絡防病毒系統等,為什么還得不到真正的安全呢?
我們應用了諸多的安全設備,但是我們的Web服務還是要外開放的,也就是說80、443端口還是要開放的。80及443即是Http及Http服務的端口,只要你的Web服務開放,那么與Web服務通訊的信息,有些是正常的訪問,有些是帶有攻擊行為的訪問,Web系統無法判斷那些訪問是惡意的訪問,所有你的Web系統就會出現諸多Web層面的安全問題。
現在企業的Web信息系統大多為新聞、留言版、郵件、Blog、論壇、OA及其它應用系統,試想一下這些多的Web信息系統沒有安全漏洞的嗎?目前關于Web信息系統出現的漏洞最多最嚴重的漏洞就是SQL Injection、XSS跨站安全漏洞。
SQL Injection漏洞
SQL Injection,中文名稱為“SQL 注入”是一種數據庫攻擊手段,也是Web應用程序漏洞存在的一種表現形式,它的實際意義就是利用某些數據庫的外部接口把用戶數據插入到實際的數據庫操作語言當中,從而達到入侵數據庫乃至操作系統的目的。
Web程序員在編寫Web系統時對Web的安全性考慮不夠,對用戶輸入的數據沒有進行有限的驗證及過濾,從而會引發SQL注入漏洞。如果我們的新聞系統或者OA辦公系統出現SQL注入漏洞,那么攻擊者通過構造的特殊SQL語句就可以查看、插入、刪除數據的的數據及可以執行主機的系統命令等具有很大的危害。
SQL注入攻擊具有如下特點:
(1)sql 注入種類繁多:
按數據庫分類就有:
Access、MsSql、Oracle、Informix 、DB2、Sybase 、PostgreSQL 、SQLite 數據庫注入,幾乎包含了所有的主流數據庫。
按程序語言分類就有:
ASP、ASPX、JSP、PHP、CGI、PL注入,也幾乎包含了所有Web編程語言。
按程序提交數據方式分類就有:
GET注入、POST注入、Cookies注入等。
這導致傳統的特征匹配檢測方法僅能識別相當少的攻擊,難以防范。
(2)攻擊過程簡單,目前互聯網上流行眾多的SQL注入攻擊工具,攻擊者借助這些工具可很快對目標Web系統實施攻擊和破壞。
(3)危害大,由于Web編程語言自身的缺陷以及具有安全編程能力的開發人員少之又少,大多數Web業務系統均具有被SQL注入攻擊的可能。而攻擊者一旦攻擊成功,可以對控制整個Web業務系統,對數據做任意的修改數據、甚至刪除整個數據庫,給企事業單位帶來毀滅性的災難。
(4)SQL攻擊語句多樣性
就SQL注入攻擊語句大小寫混淆、部分攻擊語句url編碼性、部分攻擊語句16進制編碼等編碼格式、就空格字符就可以用“+”“、“/**/”、“%09”、“[TAB]空格”字符來代替空格。
Web安全防護解決方案中的SQL Injection漏洞問題就為大家介紹完了,希望大家多多掌握這方面的知識。
【編輯推薦】
